如今，各家工廠都會直接或間接地連接到因特網中，這就為他們的生產過程、產品質量控製以及利潤保障帶來風險。SIMATIC PCS 7 的信息安全解決方案，可有效防範這些安全隱患，確保生產係統的正常運行。

　　概覽

　　•  應用

　　•  優勢

　　•  安全產品與服務

　　應用

　　SIMATIC PCS 7 的基於縱深防禦的信息安全理念為生產過程提供安全解決方案。這種集成的安全理念並不局限於實施單獨的安全過程（例如
，層級權限分配、身份認證和加密）或安全設備（例如防火牆）。相反，它綜合所有安全措施並在工廠網絡進行完美協作。而且，這種解決方案中將工廠分隔為多個安全單元，符合IEC62443 / ISA 99 - 工業自動化與控製係統的信息安全標準。

　　優勢

　　西門子可根據工廠過程控製的特定需求，為用戶量身定製完整的信息安全解決方案

　　縱深防禦安全理念不但增強了對係統的信息安全防護
，同時還降低了各種潛在風險，極大提高了工廠的可用性

　　覆蓋整個生命周期的信息安全機製，可全方位保護工廠安全

　　產品安全與服務

　　將工廠分段為多個安全單元

　　網絡分段是將工廠生產過程分隔為彼此獨立
、組(zu)織(zhi)有(you)序(xu)且(qie)易(yi)於(yu)管(guan)理(li)的(de)多(duo)個(ge)區(qu)域(yu)，即(ji)各(ge)自(zi)形(xing)成(cheng)一(yi)個(ge)安(an)全(quan)單(dan)元(yuan)。可(ke)以(yi)根(gen)據(ju)位(wei)置(zhi)或(huo)者(zhe)功(gong)能(neng)，將(jiang)工(gong)廠(chang)分(fen)隔(ge)為(wei)各(ge)個(ge)安(an)全(quan)單(dan)元(yuan)。這(zhe)種(zhong)安(an)全(quan)單(dan)元(yuan)可(ke)大(da)可(ke)小(xiao)，既(ji)可(ke)以(yi)是(shi)一(yi)個(ge)小(xiao)型(xing)的(de)自(zi)動(dong)化(hua)設(she)備(bei)
，也(ye)可(ke)以(yi)是(shi)一(yi)整(zheng)棟(dong)樓(lou)宇(yu)。所(suo)有(you)安(an)全(quan)單(dan)元(yuan)都(dou)實(shi)行(xing)安(an)全(quan)機(ji)製(zhi)進(jin)行(xing)完(wan)善(shan)保(bao)護(hu)，並(bing)保(bao)證(zheng)可(ke)以(yi)自(zi)主(zhu)運(yun)行(xing)。係(xi)統(tong)會(hui)事(shi)先(xian)定(ding)義(yi)各(ge)個(ge)安(an)全(quan)單(dan)元(yuan)間(jian)的(de)數(shu)據(ju)通(tong)訊(xun)和(he)人(ren)員(yuan)流(liu)動(dong)規(gui)則(ze)，並(bing)對(dui)訪(fang)問(wen)進(jin)行(xing)嚴(yan)密(mi)監(jian)控(kong)。

　　病毒防護軟件和防火牆

　　在(zai)專(zhuan)用(yong)接(jie)入(ru)點(dian)處(chu)安(an)裝(zhuang)防(fang)火(huo)牆(qiang)和(he)病(bing)毒(du)掃(sao)描(miao)程(cheng)序(xu)，可(ke)以(yi)保(bao)護(hu)安(an)全(quan)單(dan)元(yuan)中(zhong)的(de)各(ge)個(ge)計(ji)算(suan)機(ji)或(huo)網(wang)絡(luo)
，防(fang)止(zhi)未(wei)經(jing)授(shou)權(quan)的(de)訪(fang)問(wen)或(huo)者(zhe)入(ru)侵(qin)。因(yin)此(ci)
，在(zai)安(an)全(quan)單(dan)元(yuan)中(zhong)就(jiu)無(wu)需(xu)再(zai)安(an)裝(zhuang)其(qi)它(ta)防(fang)火(huo)牆(qiang)。這(zhe)種(zhong)安(an)全(quan)措(cuo)施(shi)不(bu)但(dan)簡(jian)化(hua)了(le)計(ji)算(suan)機(ji)的(de)管(guan)理(li)和(he)維(wei)護(hu)，同(tong)時(shi)還(hai)可(ke)提(ti)高(gao)係(xi)統(tong)性(xing)能(neng)。SIMATIC PCS 7 信息安全理念中還可使用 Microsoft® Forefront Threat Management Gateway安全網關

、Windows 防火牆以及 Scalance S 安全模塊和基於 IPSec 的 VPN 連lian接jie方fang式shi等deng其qi它ta安an全quan措cuo施shi。這zhe些xie安an全quan模mo塊kuai與yu其qi它ta辦ban公gong設she備bei不bu同tong，不bu但dan具ju有you優you良liang的de工gong業ye性xing能neng同tong時shi還hai可ke優you化hua信xin息xi通tong信xin。除chu了le防fang火huo牆qiang，病bing毒du掃sao描miao程cheng序xu也ye是shi一yi種zhong最zui為wei常chang用yong的de安an全quan防fang範fan措cuo施shi。SIMATIC PCS 7 係統可支持市麵上最常用的 3 種用於生產和控製係統的防病毒軟件。

　　•  Trendmicro™ Office Scan 企業版

　　•  SymaSymantec™ Antivirus 企業版

　　•  McAMcAfee™ VirusScan 企業版

　　Windows 安全補丁管理

　　SIMATIC PCS 7 安全理念中，建議用戶安裝相應的安全補丁程序，及時對過程控製係統的各個工作站進行有效保護。並使用微軟基線安全性分析器 Microsoft Baseline Security Analyzer (MBSA) 對計算機進行掃描和分析
，查找安全漏洞並防範各種安全威脅。MBSAhuijiangjiancedaodeanquanloudongyijiweianzhuangdeanquanbudingyibaobiaoxingshiliechu。jiyuzhefenbaogao

，yonghukeyiduiweianzhuangzhexieanquanbudingbingjixuyunxingxitongdefengxianyijianzhuangzhexiebudingchengxudegongzuolianghechengben（安裝補丁程序的過程中可能需要重新啟動計算機）進行權衡，並最終確定否安裝補丁程序。Microsoft 會定期發布安全補丁以修複最新發現的各種安全漏洞。與此同時，SIMATIC PCS 7 信息安全實驗室會持續地檢測這些補丁程序與當前 SIMATIC PCS 7 版本的兼容性，並在測試結束後
，立即在線發布測試結果。

　　用戶和權限管理

　　通(tong)過(guo)明(ming)確(que)定(ding)義(yi)訪(fang)問(wen)控(kong)製(zhi)權(quan)限(xian)，對(dui)用(yong)戶(hu)和(he)權(quan)限(xian)進(jin)行(xing)統(tong)一(yi)管(guan)理(li)
，是(shi)安(an)全(quan)理(li)念(nian)的(de)要(yao)素(su)之(zhi)一(yi)。在(zai)這(zhe)種(zhong)安(an)全(quan)理(li)念(nian)中(zhong)

，通(tong)常(chang)采(cai)用(yong)最(zui)低(di)權(quan)限(xian)原(yuan)則(ze)。這(zhe)意(yi)味(wei)著(zhe)每(mei)個(ge)用(yong)戶(hu)或(huo)應(ying)用(yong)程(cheng)序(xu)隻(zhi)能(neng)獲(huo)得(de)處(chu)理(li)當(dang)前(qian)任(ren)務(wu)所(suo)需(xu)要(yao)的(de)權(quan)限(xian)。通(tong)過(guo)這(zhe)種(zhong)方(fang)式(shi)，可(ke)以(yi)有(you)效(xiao)避(bi)免(mian)有(you)意(yi)或(huo)無(wu)意(yi)的(de)操(cao)作(zuo)失(shi)誤(wu)。在(zai) SIMATIC PCS 7 中
，可通過SIMATIC Logon 軟件包進行用戶統一管理，為 SIMATIC 應用程序和工廠區域指定相應的權限。 SIMATIC Logon 通過調用 Windows 用戶管理工具
，實現例如自動注銷和自動密碼失效等用戶管理功能。

　　時間同步

　　利用 SIMATIC PCS 7 的時間同步，不但可將時間誤差降至最低，還可以實現對時間要求嚴格的過程進行同步
、wendangjiluheguidang。shijiantongbushiyigefeichangzhongyaodeanquancuoshi，danwangwanghuibeirenmenhushi。weitongbudexitongwangwangcunzaiyigeqianzaifengxian。jiyukongzhiqikenenghuijujueyukehuduandedenglucaozuo。daozhizheyiwentideyuanyinshi Windows 自帶的一個安全功能，當客戶端與服務器間的時間差超過設定值時
，該安全功能將阻止對現有會話的未經授權訪問。

　　服務和遠程訪問

　　通過 VPN 連接可降低在進行維護和技術支持時臨時允許“外部”計算機訪問工廠內部所帶來的潛在危險。通過虛擬專用網 (VPN)，可(ke)確(que)保(bao)外(wai)部(bu)設(she)備(bei)與(yu)受(shou)保(bao)護(hu)控(kong)製(zhi)係(xi)統(tong)間(jian)通(tong)信(xin)連(lian)接(jie)可(ke)靠(kao)安(an)全(quan)。在(zai)西(xi)門(men)子(zi)信(xin)息(xi)安(an)全(quan)理(li)念(nian)中(zhong)
，建(jian)議(yi)在(zai)受(shou)保(bao)護(hu)網(wang)絡(luo)中(zhong)采(cai)用(yong)這(zhe)種(zhong)連(lian)接(jie)方(fang)式(shi)的(de)同(tong)時(shi)，安(an)裝(zhuang) Microsoft® Forefront Threat Management Gateway (TMG)安全網關。在需要通過 Web 瀏覽器訪問工廠數據時，信息安全理念建議使用數據加密和服務器認證這兩種安全措施，而無需考慮是采用 HTTPS 協議的安全套接字層 (SSL) 進行連接，還是采用 IPSec 和基於用戶名和密碼的用戶認證等機製。

　　網絡架構和管理

　　通過在 SIMATIC PCS 7 係統中定義 DHCP 服務器、分配 IP 地址、將各個網絡分段映射到不同子網中，同時通過 Windows Active Directory 對工廠中的計算機或用戶進行統一管理，不但可以滿足網絡結構靈活性的需求，同時還增加了係統管理的高效性。

　　應用程序白名單機製

　　采用應用程序白名單保護機製，可以確保在 SIMATIC PCS 7 過(guo)程(cheng)控(kong)製(zhi)係(xi)統(tong)的(de)工(gong)作(zuo)站(zhan)中(zhong)僅(jin)運(yun)行(xing)可(ke)信(xin)的(de)應(ying)用(yong)程(cheng)序(xu)。這(zhe)種(zhong)機(ji)製(zhi)可(ke)以(yi)有(you)效(xiao)阻(zu)止(zhi)非(fei)法(fa)軟(ruan)件(jian)的(de)運(yun)行(xing)和(he)對(dui)所(suo)安(an)裝(zhuang)應(ying)用(yong)程(cheng)序(xu)的(de)更(geng)改(gai)，進(jin)一(yi)步(bu)提(ti)高(gao)了(le)對(dui)惡(e)意(yi)軟(ruan)件(jian)的(de)防(fang)範(fan)能(neng)力(li)。

　　自動化防火牆

　　自動化防火牆的運行基於微軟的安全網關 Microsoft® Forefront Threat Management Gateway 2010，具有數據包過濾器狀態檢測、應用層防火牆
、VPN 網關功能、URL 址址過濾、Web 代理、病毒掃描以及入侵防禦等多種功能
，因而可確保從辦公室、公司內網或者因特網通過接入點訪問生產網絡時數據通信的安全性。根據工廠規模的不同，可采用以下保護措施：

　　•  對於過程工廠和 IT 網絡中的安全遠程訪問，可設置接入點防火牆

　　•  對於采用複雜邊界網絡的工廠，可設置三宿主防火牆

　　•  對於帶有大量邊界網絡的大型工廠，則可采用前端和後端防火牆實現最大程度的安全保護

　　自動化防火牆在供貨交付時已完成預安裝，並采用界麵友好的組態向導輔助用戶進行安裝設置。

　　災備恢複

　　災備恢複機製旨在經曆了自然或人為事故之後恢複對數據、硬(ying)件(jian)和(he)軟(ruan)件(jian)的(de)訪(fang)問(wen)，並(bing)重(zhong)新(xin)啟(qi)動(dong)生(sheng)產(chan)操(cao)作(zuo)。由(you)於(yu)當(dang)前(qian)的(de)過(guo)程(cheng)工(gong)程(cheng)組(zu)態(tai)中(zhong)越(yue)來(lai)越(yue)多(duo)采(cai)用(yong)數(shu)據(ju)驅(qu)動(dong)機(ji)製(zhi)，因(yin)而(er)快(kuai)速(su)數(shu)據(ju)恢(hui)複(fu)功(gong)能(neng)也(ye)變(bian)得(de)非(fei)常(chang)重(zhong)要(yao)。

　　在 SIMATIC PCS 7 係(xi)統(tong)中(zhong)
，每(mei)台(tai)計(ji)算(suan)機(ji)都(dou)備(bei)有(you)完(wan)整(zheng)的(de)係(xi)統(tong)軟(ruan)件(jian)映(ying)像(xiang)文(wen)件(jian)。一(yi)旦(dan)發(fa)生(sheng)數(shu)據(ju)丟(diu)失(shi)，可(ke)隨(sui)時(shi)使(shi)用(yong)這(zhe)些(xie)映(ying)像(xiang)文(wen)件(jian)對(dui)係(xi)統(tong)分(fen)區(qu)進(jin)行(xing)恢(hui)複(fu)。除(chu)此(ci)之(zhi)外(wai)，西(xi)門(men)子(zi)還(hai)推(tui)出(chu)了(le)諸(zhu)如(ru) StoragePlus、中央歸檔服務器 (CAS)、曆史數據歸檔和 SIMATIC IT Historian 等軟件對過程數據進行歸檔。

　　西門子工業信息安全控製係統的應用

　　下圖中，我們簡要介紹了如何設計一個安全係統
，實現最高等級的安全防護。

　　SIMATIC 工業信息安全實驗室

　　工業信息安全是西門子安全理念的一部分，所有產品在麵市發布之前都必需通過包含工業信息安全在內的嚴密係統測試。 SIMATIC 信息安全實驗室
，持續研究工業數據的安全性並將這些測試結果直接應用到後續的產品和軟件研發過程中。